1. Introduzione
Con l’intento di garantire un approccio uniforme e armonizzato alle innovazioni tecnologie, il legislatore europeo ha, nel corso degli ultimi anni, emanato diversi atti volti a regolare l’impatto delle nuove tecnologie in diversi settori. Basti pensare all’AI Act, al Regolamento DORA o alla Direttiva NIS 2, per citarne alcuni. Si tratta di atti complessi e dal carattere fortemente innovativo che impongono nuovi obblighi e delineano quadri normativi specifici. Non fa eccezione il Regolamento (UE) 2023/2854 (noto come “Data Act“) che rappresenta il primo quadro normativo europeo per gestione dei dati generati da prodotti connessi e servizi correlati.
Pubblicato il 22 dicembre 2023 ed entrato in vigore l’11 gennaio 2024, il Data Act prevede un’applicazione graduale a partire dal 12 settembre 2025. La sua importanza è ulteriormente amplificata dalle interazioni con il citato AI Act, vigente dal 1° agosto 2024.
2. Quadro giuridico del Data Act e obblighi specifici
Il Data Act mira a garantire agli utenti (consumatori e imprese) un accesso equo ai dati generati dall’uso di quelli che il Regolamento individua come prodotti connessi. Si tratta, nello specifico, dei prodotti che ottengono, generano o raccolgono dati in relazione al loro utilizzo e che sono in grado di comunicare tali dati tramite un servizio di comunicazione elettronica. Rientrano in tale definizione tutti i prodotti della internet of things.
In tale contesto, si può delineare un sintetico quadro dei principali obblighi che il Data Act prevede per i soggetti che interagiscono con i prodotti connessi o siano coinvolti in un servizio correlato (definito come servizio connesso al prodotto che permette a quest’ultimo di svolgere una o più delle sue funzioni):
- i fornitori di prodotti connessi e/o servizi correlati dovranno assicurarsi di informare adeguatamente gli utenti degli stessi, in particolare fornendo tutta una serie di informazioni elencate direttamente nel testo del Regolamento:
- i fabbricanti di prodotti connessi dovranno progettare e realizzare dispositivi che consentano agli utenti un accesso diretto e semplice ai dati generati durante l’uso, fornendo informazioni dettagliate sulla natura dei dati, modalità di accesso, volume e formato previsto.
- le imprese coinvolte nella gestione e nel trattamento dei dati dovranno porre in essere misure tecniche e contrattuali conformi agli obblighi del Regolamento lungo tutta la catena di fornitura del prodotto o servizio, in modo da garantire l’effettività dei diritti dell’utente finale.
Inoltre, Il Regolamento non si limita a disciplinare i rapporti con gli utenti finali, ma introduce diversi obblighi relativi alla condivisione dei dati tra imprese. A questo proposito, sono dettate misure volte a proteggere le imprese da termini contrattuali ingiusti tramite clausole considerate abusive e, pertanto, inefficaci
Un altro aspetto rilevante è quello delle relazioni tra imprese e pubblica amministrazione, dove il Regolamento stabilisce le condizioni in base alle quali le autorità pubbliche possono accedere a dati detenuti da privati in situazioni eccezionali.
Ancora, un elemento chiave è la promozione dell’interoperabilità e della portabilità dei dati nei servizi di elaborazione. In particolare, sono previste diverse disposizioni volte a facilitare il cambio di fornitore nei servizi cloud e prevenire situazioni di vendor lock-in. Le imprese fornitrici di tali servizi devono consentire la migrazione dei dati in modo strutturato, efficiente e gratuito entro determinati limiti temporali.
Infine, il Capo VIII disciplina l’accesso ai dati da parte di enti dell’UE e delle autorità pubbliche per finalità di interesse generale, mentre il Capo IX prevede la promozione di standard europei di interoperabilità, sia a livello tecnico che contrattuale. Il rispetto di tali standard è fortemente raccomandato per agevolare la conformità e ridurre i rischi legali.
3. Data Act e AI Act
Come si è detto, occorre considerare che gli obblighi relativi all’accesso e all’utilizzo dei dati assumono particolare rilevanza nel contesto dei sistemi di intelligenza artificiale, spesso costituiti da insiemi complessi di dataset, modelli, software e hardware.
Ove i sistemi di IA siano integrati in prodotti connessi o servizi correlati (ad esempio, assistenti vocali intelligenti, sistemi di automazione industriale con apprendimento automatico, o altri sistemi integrati in dispositivi IoT), occorrerà verificare le sinergie esistenti tra i due Regolamenti ed assicurarsi di aver adottate misure tecniche e contrattuali adeguate a soddisfare tutti gli obblighi applicabili.
Un esempio è la necessità, prevista dal Data Act che i prodotti connessi debbano permettere agli utenti di accedere, utilizzare e condividere facilmente e in sicurezza i dati generati, che dovrà quindi essere garantito anche nell’ottica degli obblighi di trasparenza e accessibilità per i sistemi di intelligenza artificiale ai sensi dell’AI Act.
4. Il processo di adeguamento
Da questo nuovo quadro normativo emergono quindi alcuni punti di attenzione, su cui occorrerà concentrarsi per prepararsi adeguatamente nei prossimi mesi. In particolare, si possono evidenziare alcune attività chiave:
- analisi e gestione dei rischi: sarà opportuno svolgere puntuali valutazioni di rischio e gap analysis per valutare in che misura l’impresa è impattata dal Regolamento e quali attività sono necessarie per garantire il completo adeguamento.
- delimitazione delle responsabilità contrattuali: sarà necessario assicurarsi che i contratti tra i soggetti interessati (fabbricanti e fornitori di prodotti o servizi, distributori, rivenditori e utenti finali) specifichino chiaramente le misure poste per garantire l’accesso e la condivisione dei dati, le responsabilità connesse all’adozione e al controllo di tali misure e i diritti di ciascuna parte interessata.
- interoperabilità tecnica e standardizzazione: occorrerà valutare se, da un punto di vista tecnico, le infrastrutture utilizzate permettono di assicurare la conformità agli obblighi previsti dal Regolamento. A titolo esemplificativo, sarà necessario verificare se l’utente ha un accesso effettivo a tutti i dati generati dal dispositivo o se occorre invece implementare nuove misure affinché ciò avvenga.
Sul punto, è utile segnalare che la Commissione europea prevede lo sviluppo di clausole contrattuali standard per supportare le imprese nella redazione di contratti equi e bilanciati relativi alla condivisione dei dati.
5. Timeline di applicazione
In linea con la prassi regolatoria europea degli ultimi anni, anche il Data Act prevede un’applicazione scaglionata delle disposizioni, così suddivisa:
- dal 12 settembre 2025: applicazione generale delle disposizioni principali relative agli obblighi di accesso ai dati per produttori di prodotti connessi e fornitori di servizi correlati.
- dal 12 settembre 2026: entrano in vigore gli obblighi specifici relativi alla progettazione e fabbricazione dei prodotti connessi che dovranno garantire un facile accesso ai dati generati.
- dal 12 marzo 2027: applicazione delle norme relative alla portabilità e al cambio dei fornitori di servizi di elaborazione dati.
Nei prossimi mesi sarà quindi necessario avere chiaro il quadro normativo del Regolamento e le intersezioni con la normativa già esistente e, in particolare con l’AI Act.
Il primo passo dovrà quindi necessariamente essere quello di individuare le attività da svolgere per garantire un adeguamento completo ed efficace, avendo cura di predisporre una timeline adeguata di adeguamento, che tenga conto sia delle attività di natura più tecnica, sia delle misure contrattuali e informative da porre in essere.
Per approfondire ulteriormente il tema si può consultare il seguente articolo: Data Act: livello arricchimento dati per poterli considerare dedotti